入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全體系中的重要組成部分，旨在監(jiān)控和分析網(wǎng)絡(luò)或系統(tǒng)中的活動，以識別潛在的安全威脅或違規(guī)行為。根據(jù)其核心檢測技術(shù)的工作原理，IDS主要可以劃分為兩大類：基于簽名的入侵檢測系統(tǒng)和基于異常的入侵檢測系統(tǒng)。

第一類是基于簽名（Signature-Based）的入侵檢測系統(tǒng)。這類系統(tǒng)依賴于一個預(yù)先定義好的攻擊特征數(shù)據(jù)庫，即“簽名庫”。系統(tǒng)通過實時監(jiān)控網(wǎng)絡(luò)流量或系統(tǒng)日志，將其與簽名庫中的已知攻擊模式進(jìn)行比對。一旦發(fā)現(xiàn)匹配的特征，就會觸發(fā)警報。其工作原理類似于傳統(tǒng)的殺毒軟件，主要優(yōu)勢在于檢測已知攻擊的準(zhǔn)確率高、誤報率相對較低，并且能夠明確識別攻擊的具體類型。其顯著局限性在于無法檢測未知的、新型的或經(jīng)過變種的攻擊（即“零日攻擊”），并且需要持續(xù)更新和維護(hù)龐大的簽名庫以應(yīng)對新的威脅。

第二類是基于異常（Anomaly-Based）的入侵檢測系統(tǒng)。這類系統(tǒng)首先通過機(jī)器學(xué)習(xí)、統(tǒng)計分析或行為建模等方法，建立一個系統(tǒng)或網(wǎng)絡(luò)在正常狀態(tài)下的行為“基線”模型。在后續(xù)的監(jiān)控中，系統(tǒng)會將實時活動與這個基線模型進(jìn)行對比，任何顯著偏離正常模式的行為都會被標(biāo)記為異常并可能觸發(fā)警報。其主要優(yōu)勢在于理論上能夠檢測出未知的新型攻擊和內(nèi)部威脅，因為攻擊行為往往會導(dǎo)致活動模式偏離常態(tài)。但其主要挑戰(zhàn)在于誤報率可能較高（因為正常的、新的但非惡意的行為也可能被誤判為異常），并且建立準(zhǔn)確、全面的正常行為基線模型本身是一項復(fù)雜且動態(tài)的工作。

基于簽名的IDS和基于異常的IDS代表了兩種互補(bǔ)的技術(shù)路徑。在實際的網(wǎng)絡(luò)安全部署中，為了構(gòu)建更健壯的防御體系，許多現(xiàn)代入侵檢測/防御系統(tǒng)（IDS/IPS）往往會融合這兩種技術(shù)，取長補(bǔ)短，以提高對各類威脅的整體檢測和響應(yīng)能力。